„AI w usługach płatniczych. Automatyzacja, personalizacja i wyzwania regulacyjne w świetle AI Act” – relacja z webinaru PAB WIB

Otwierając spotkanie dr hab. prof. UŚ Dariusz Szostek podkreślił, że celem przeprowadzonej analizy jest kompleksowe podejście do wykorzystywania AI w sektorze usług płatniczych – nie tylko w wymiarze prawnym, ale również w ujęciu technicznym i zarządczym – od definicji i klasyfikacji ryzyka, przez praktyczne zastosowania, aż po wymogi nadzorcze i audytowe wynikające z nowych ram regulacyjnych Unii Europejskiej.

To właśnie napięcia między obietnicą automatyzacji i personalizacji a koniecznością odpowiedzialnego wdrożenia technologii wyznaczało główną oś całej debaty.

Wdrożenie AI Act w banku a cyberbezpieczeństwo

W 2024 r. w Polsce przeprowadzono około 114 tys. cyberataków, głównie zainicjowanych przez grupy wywiadów Rosji i Białorusi. We wrześniu 2025 r. przyrost liczby cyberataków w ujęciu r/r wyniósł 278%.

Blisko 43% ataków dotyczy infrastruktury rynków finansowych, zaś bankowości – 2,5% ataków (w 2024 r. odnotowano 2544 incydentów).

Masowo przyrasta liczba ataków wykorzystujących generatywną AI (w tym deepfake) – w ubiegłym roku odnotowano ich 442% więcej r/r. Pod kątem liczby ataków ransomware – polski rynek zajmuje pierwsze miejsce na świecie (6% globalnych incydentów, podczas gdy USA – 5,74%).

Jednocześnie Polska zajmuje w UE przedostatnie miejsce jeśli chodzi o wykorzystanie AI w przedsiębiorstwach (PL: 5,9% przy średniej UE: 15%); podobnie odległą pozycję zajmujemy biorąc pod uwagę kompetencje cyfrowe Polaków.

Wątek konsekwencji operacyjnych rozwinięto omawiając kolejne obszary ryzyka: błędy modeli, awarie chmury, luki w dokumentacji parametrów i przerwy w działaniu usług krytycznych mogą skutkować nie tylko stratami finansowymi, ale też utratą zaufania użytkowników do całych strumieni płatniczych.

Wprost sformułowano trzy wnioski: (1) rosnącą zależność od infrastruktury cyfrowej; (2) eskalację złośliwych zastosowań AI (deepfake, manipulacja biometryczna); (3) ryzyko błędów modeli, które – jeśli nie są należycie monitorowane i wyjaśnialne – destabilizują procesy.

Od automatyzacji do personalizacji: gdzie AI już realnie zmienia płatności

Drugi blok webinaru skoncentrował się na prezentacji mapy zastosowań AI w systemach płatniczych: weryfikacja tożsamości (biometria i analiza dokumentów), wykrywanie podejrzanych transakcji w czasie rzeczywistym, dynamiczne limity płatności oraz personalizacja oferty – rekomendacje i dopasowanie doświadczeń klienta do jego wzorców zachowań.

To nie abstrakcyjne katalogi, lecz funkcje, które banki i operatorzy płatności wdrażają, aby skrócić czas obsługi, podnieść trafność decyzji i ograniczyć straty na fraudach.

Szczególną uwagę poświęcono detekcji nadużyć finansowych pokazując, jak systemy oparte na AI analizują miliony transakcji, dostrajają progi alertów do zmiennych warunków, prowadzą analizę sieci powiązań i wykrywają nieoczywiste wzorce zachowań.

Ten obraz jest spójny z wnioskami płynącymi z raportu, który podkreśla, że AI wspiera także AML/CFT, optymalizuje procesy dochodzeniowe i pomaga spełniać wymagania audytowe – pod warunkiem, że modele są wyjaśnialne i dobrze udokumentowane.

Mroczna strona hiperpersonalizacji: voice-cloning, romance fraud i „pig butchering”

Autorzy raportu dokonali także przeglądu nowoczesnych oszustw finansowych wzmacnianych przez AI. Jak podkreślił dr inż. Rafał Prabucki, voice-cloning i boty prowadzące rozmowy z analizą emocji łączą się z długofalowym „tuczeniem” ofiary (tzw. pig butchering) i kreowaniem realistycznych scenariuszy kryzysowych.

AI skaluje i personalizuje ataki – szybciej niż rośnie gotowość ofiar do krytycznej weryfikacji.

Rys. 1 Ewolucja oszustw dzięki AI:

Ten wątek domknął tezę o konieczności łączenia barier technicznych z edukacją i prewencją po stronie klientów.

Generatywne modele językowe umożliwiają produkcję przekonujących, kontekstowych treści (phishing, vishing, spoofing stron), a analiza śladów w mediach społecznościowych pozwala segmentować ofiary i podnosić skuteczność ataków.

Dlatego banki muszą traktować ochronę klienta jako element zarządzania cyklem życia modeli AI.

Problem definicji i ryzyka przeregulowania

W dyskusji wrócił spór o definicję „systemu AI”. Autorzy zwracają uwagę, że mimo wejścia w życie AI Act, pojęcie pozostaje nieostre – co grozi asymetriami interpretacyjnymi i nadmiernym objęciem regulacją systemów „algorytmicznych”, które AI w sensie materialnym nie są.

Czytaj także: Polska strategia sztucznej inteligencji do 2030 roku

W praktyce płatności oznacza to potrzebę ostrożnego, kontekstowego podejścia: rozpoznania, które komponenty rzeczywiście wyzwalają rygor wysokiego ryzyka oraz jakie kryteria pragmatycznie odróżniają „AI w sensie regulacyjnym” od klasycznej analityki.

To nie tylko kwestia semantyki – to także kosztów compliance i spójności nadzorczej.

Łańcuch dostaw, pochodzenie i „owoc z zatrutego drzewa”

Podczas webinaru kilkakrotnie wyraźnie zaakcentowano, że bezpieczeństwo i zgodność nie kończą się na „modelu” – obejmują cały łańcuch: dane, narzędzia, komponenty open-source, dostawców chmury, operatorów „AI as a service” i telekomunikację.

Padają pytania o podstawy kontroli algorytmów i kontroli danych: czy wiemy, skąd pochodzą, jakie mają domniemania prawne, czy można je wiarygodnie zarchiwizować i zidentyfikować.

Bez odpowiedzi na te pytania każda certyfikacja będzie miała kruche podstawy – tam, gdzie „genealogia danych” jest niejasna, ryzyko skażenia rośnie.

Co z tego wynika dla sektora finansowego?

Po pierwsze, AI w płatnościach to już nie „trend”, ale infrastruktura decyzji – im bardziej procesy przebiegają w czasie rzeczywistym, tym wyżej jest zawieszona poprzeczka dla jakości danych, odporności i transparentności.

Po drugie, tempo innowacji po stronie przestępców (voice-cloning, deepfake, oszustwa emocjonalne) wymusza kolejne działania po stronie bezpieczeństwa: edukację klientów, uwierzytelnianie kontekstowe i inwestycje w detekcję anomalii na styku bank–użytkownik–urządzenie.

Po trzecie, AI Act porządkuje oczekiwania, ale jednocześnie przesuwa środek ciężkości na praktyki organizacyjne: karty modelu, logi decyzji, interwencje manualne, post-market monitoring.

I wreszcie: spór o definicję AI nie zwalnia z działania – nawet jeśli granice prawne są nieostre, granice odpowiedzialności wobec klienta i regulatora pozostają bardzo wyraźne.

Pełny zapis webinaru jest możliwy do odtworzenia na stronie www.pabwib.pl  

Raport badawczy można pobrać ze strony: https://pabwib.pl/produkt/oprocentowanie-kredytow-hipotecznych-analiza-czynnikow-ksztaltujacych-koszt-kredytow-hipotecznych-w-polsce-w-wymiarze-ekonomicznym-instytucjonalnym-i-prawnym-na-tle-innych-panstw-czlonkowskich-ue/